Aktuelle False Positives / Fehlalarme der AV's, Sammelthread Einstellungen

[Gast_blueX_*]

Hier soll ein Sammelthread entstehen, indem über aktuelle Fehlalarme über AV's berichtet wird.

Ich fang dann mal an:

F-Secure erkennt die Original WinRAR-Installationsdatei wrar380d.exe als "Suspicious:W32/Perfloger.o!Gemini".
Der Fehlalarm wurde bereits am 01.10.2008 F-Secure gemeldet - leider hat sich nichts getan.

[Gast_Scrapie_*]

Hi

SmartSniff von Nirsoft wird von eSafe als FP erkannt: *Klick*
Bis vor kurzem auch noch von a-squared, dass wurde aber schnell gefixed...

Wer hat Kontakt zu eSafe?


Scrapie

[Gast_blueX_*]

Die Files, die von eSafe als "Suspicious File" gemeldet werden, werden soweit ich weiss nicht gefixt, solange es keine "bedeutsamen" Files sind.

[Gast_Scrapie_*]

Okay, ich schick's mal hin...

a-squared FP bei enzip.exe aus einem alten F-Prot-Archiv: *Klick*


Ich geh'jetzt erst mal zur Arbeit ,
Scrapie

[chris30duew]

Avast und somit auch GDATA erkennt die Installationsdatei von Panda IS 2008 oder 2009 als virus. Zahlreiche Beschwerden und eine PM an Gdatamitarbeiter blieben erfolglos. Auch eine e-mail an Avast brachte keine Besserung. AVG hat ebenfalls die Datei bemängelt, hat jedoch 4h nach meiner FP einsendung reagiert und den FP eingeräumt und ihn aus den Signaturen genommen. vorbildlich.
Gdata und auch Avast erkennt in Programm PcTools Registry Cleaner 7 ebenfalls einen Virus. Auch hier bisher alle Beschwerden und Einsendung an die Gdata Ambulanz nach Scan als FP erfolglos. Schwach kann ich nur sagen!

[Gast_blueX_*]

Einen Monat ist seit der Meldung bei F-Secure vergangen. Der Fehlalarm (Installationsdatei von WinRaR) besteht immernoch ...

[Gast_Nightwatch_*]

Einen Monat ist seit der Meldung bei F-Secure vergangen. Der Fehlalarm (Installationsdatei von WinRaR) besteht immernoch ...

Überfordere sie doch nicht so. Erst das neue Release, dann gleich drei (zum Teil böse) Sicherheitslücken + einem schwachen Test bei AV-C. Wen interessieren da noch FP´s ?

[Gast_blueX_*]

Kannst du das File über das Programm zu denen senden?
Üblicherweise werden solche Einreichungen bevorzugt bearbeitet.




Der Beitrag wurde von blueX bearbeitet: 31.10.2008, 21:48

[Gast_Nightwatch_*]

Kannst du das File über das Programm zu denen senden?

Über das Programm nicht. Aber ich habe so meine 1-2 E-Mail-Adressen, bei denen es ganz flott geht . Zumindest, dass sie da draufschauen.

[Gast_blueX_*]

Wenn du schon dabei bist -> http://www.rokop-security.de/index.php?showtopic=17661


Dies erkennen sie auch noch fälschlicherweise.

[Gast_Nightwatch_*]

Wenn du schon dabei bist -> http://www.rokop-security.de/index.php?showtopic=17661

Ich habs geahnt. Wird wieder ein stressiger Abend .

Nein, im Ernst. Werde die beiden Dateien einschicken und dann hoffen. Spätestens Morgen, denn ich muss gleich noch einige berufliche Dinge erledigen.

[Gast_Xeon_*]

F-Secure erkennt die Original WinRAR-Installationsdatei wrar380d.exe als "Suspicious:W32/Perfloger.o!Gemini".
Der Fehlalarm wurde bereits am 01.10.2008 F-Secure gemeldet - leider hat sich nichts getan.

Kann ich nicht bestätigen, bei mir kommt weder beim herunterladen noch beim Installieren eine derartige Meldung von F-Secure.

[Gast_Xeon_*]

Wenn du schon dabei bist -> http://www.rokop-security.de/index.php?showtopic=17661

Kann ich ebenfalls nicht bestätigen,keine Meldung von F-Secure beim starten des Programmes.

[Gast_blueX_*]

Hast du die Heuristik aktiviert?

[Gast_Xeon_*]

Hast du die Heuristik aktiviert?

Du meinst den DeepGuard,der läuft.

[Gast_kurz-pc_*]

ThreatFire/PCTools

VBoxWHQLFake.exe als Worm.AutoIt.s erkannt.
C:\Programme\Sun\xVM VirtualBox Guest Additions\VBoxWHQLFake.exe

http://www.virustotal.com/analisis/fdab050...fa6b06ccc43b420

Datei gehört zur Guest Additions von VirtualBox.

Vor 3 Tagen per Upload Formular gemeldet. Habe es jetzt zusätzlich noch im PCTools Forum geschrieben.

Edit:
Noch mal was gefunden.
UniExtract.exe als Worm.AutoIt.s.

http://www.virustotal.com/analisis/e...fa67ea87713018
http://legroom.net/software/uniextract

Der Beitrag wurde von kurz-pc bearbeitet: 15.11.2008, 12:36

[Gast_kurz-pc_*]

xpy.exe Result: 16/36
Und alles anscheinend ein Fehlalarme.
http://www.virustotal.com/analisis/768ac65...7fc36108c05bf49

http://xpy.whyeye.org/2008/05/16/your-antivirus-says/

[Gast_blueX_*]

Hast du das eingesandt mit Hinweis auf Fehlalarm? Das ist wohl meistens alles durch die Heuristik verursacht.

[Gast_Scrapie_*]

@kurz-pc:

AutoIt ist berüchtigt dafür, dass es von den AV's zu unrecht erkannt wird.
Für Kinder, die selber noch keine richtige Programmiersprache können, ist es oft der Einstieg in ihre große Virenschreiberkarriere.
Damit können sie schnell mit ein paar Klicks und einer handvoll Befehlen Dinge steuern + es kann Eingaben und Mausklicks ausführen. Das Resultat wird dann von Hause aus schon gepackt und augenblicklich springen (die Heuristiken) vieler AV's an, wenn es nur leicht nach AutoIt riecht.

Wenn ich daher im Result AutoIt lese => ab in die VM und selber checken...


Scrapie

[Gast_kurz-pc_*]

Hast du das eingesandt mit Hinweis auf Fehlalarm? Das ist wohl meistens alles durch die Heuristik verursacht.

Jo hab es per threatfire Submite Forular gemacht da gibt es extra hacken für False Positive und Möglichkeit für Beschreiben.

[Stefan]

Die Neugier hat mich gepackt und ich teste gerade mal die Home Edition von avast!.
Einziges FP bei der Prüfung der Festplatten war "F:\Programme\AceBIT\Password Depot 3\PasswordDepot.exe".
Da wurde angeblich ein "Win32:Dropper-PD(Trj)" erkannt.
Das ist nicht viel, wenn ich bedenke was die in a-squared Anti-Malware enthaltene Ikarus-Engine so alles gefunden haben will.
FP übers Programm gemeldet - nun ich bin gespannt was passiert.

[Sasser]

G-Data beschreitetnun den gleichen Weg wie vor ein paar Wochen a Squared mit Ikarus bzw. es war die Engine von Ikarus.
Die Pack-Dat. von Safersurf wird als Virus angesehen und gibt somit auf ALLEN exe.dateien, die selber üer Safersurf runtergeladen wurden
einen Virusalarm aus und wer hat damit gerechnet bei entsprechender UNVORSICHTIGER Einstellung nämlich ohne Fragen in Quarantäne,
hat man so auf einem sauberen System plötzlich nach nur einem Scan-Vollsuch-Lauf geschlagene 60 FP.

Es ist schon abenteuerlich das man diese wegen Überlastung des Quarantäne Ordners nicht wieder zurückgespielt bekommt...
bei vollen 4GB.RAM also alle Programme und Wächter abgestellt...Fehlanzeige G-Data hängt...
Nun die anderen Wächter deinstaliert wegen der Dienste etc.. G-Data hängt immer noch...
G-Data deinstalieren...auch nicht möglich weder Quarantäne löschen noch Prog.Daten behalten...
nun eines half dann nach 10 Neustarts....AVK Cleaner+Ccleaner/Reg.+Tune-up+3xNeustart und Wiederholungen...

hab ich schon erwähnt das die staubige Ecke im Regal zuwags von G-Data bekommen hat?
F-Secure ist wieder belebt worden......so kanns gehen.


Der Beitrag wurde von Sasser bearbeitet: 20.11.2008, 08:26

Angehängte Datei(en)

 G_Data.GIF ( 70.23KB ) Anzahl der Downloads: 19

 

[olli]

Moin Stefan, Moin Sasser!

Die Avast-Engine von GData hat die FP´s produziert. Ich habe eh den Eindruck, dass eher Avast mehr FP´meldet als BitDefender.

Bis denne
Olli

[Domino]

Sophos - alle paar Tage ein beliebiger USB Stick.




Domino

[Jav.SEC.21]

False Positive:
G DATA 2009 erkennt mit Engine B die neue Version von McAfee AVERT Stinger
als einen Win32:Simile Virus an.

Virus: Win32:Simile (Engine B) (Auch bekannt als W32/Etap)
Datei: stinger10000457.exe
Verzeichnis: C:\Dokumente und Einstellungen\...\...
Prozess: Explorer.EXE

Wurde bereits an G DATA gemeldet.

Der Beitrag wurde von Jav.SEC.21 bearbeitet: 22.11.2008, 16:37

Angehängte Datei(en)

 w32_simile.rtf ( 446Byte ) Anzahl der Downloads: 2

 

[Gast_blueX_*]

Oh oh ... Bitdefender erkannte heute angeblich eine Windows-Datei:

http://www.heise.de/security/Bitdefender-u.../meldung/132540

[Prozessor]

Hallo,
Gestern fand der Wächter von G Data bei mir den Trojaner "Winlogon exe",dieses habe ich in die Quarantäne geschickt. Folge:Der Monitor wurde schwarz und der PC startete endlos immer wieder neu. Im abgesicherten Modus konnte ich nicht mehr starten, so mußte ich nach der Arbeit mein XP neu installieren, ich bin darüber sehr ärgerlich (auch über meine Dummheit, das ich diese Datei in die Quarantäne geschickt habe). G Data habe ich deinstalliert, ist mir zu genau) und wieder avast 4.8 installiert . Nochmal, ich bin echt ärgerlich!!!!!
PS: hoffentlich war nicht die Avast Engine daran schuld, glaube ich aber nicht, denn avast ist ein solider gratis- Virenschutz


Gruß Prozessor

Habe nach XP Neuinstallation die gefundene Datei aus Quarantäne an G Data geschickt , leider bisher noch keine Rückantwort.

Der Beitrag wurde von Prozessor bearbeitet: 14.02.2009, 00:51

[Gast_tpro_*]

PS: hoffentlich war nicht die Avast Engine daran schuld, glaube ich aber nicht, denn avast ist ein solider gratis- Virenschutz

In den Tests hat Avast meistens sehr viele FP

[Joshua]

Habe nach XP Neuinstallation die gefundene Datei aus Quarantäne an G Data geschickt , leider bisher noch keine Rückantwort.

http://www.rokop-security.de/index.php?sho...mp;#entry263186

Joshua

[Stefan]

PS: hoffentlich war nicht die Avast Engine daran schuld, glaube ich aber nicht, denn avast ist ein solider gratis- Virenschutz

In den Tests hat Avast meistens sehr viele FP

Lest ihr eigentlich auch die letzten aktuellen Postings, die vor euren Beiträgen stehen?

[Gast_tpro_*]

Lest ihr eigentlich auch die letzten aktuellen Postings, die vor euren Beiträgen stehen?

Oh sorry, da hat wohl BitDefender mal zugeschlagen

[markus17]

G-Data beschreitetnun den gleichen Weg wie vor ein paar Wochen a Squared mit Ikarus bzw. es war die Engine von Ikarus.
Die Pack-Dat. von Safersurf wird als Virus angesehen und gibt somit auf ALLEN exe.dateien, die selber üer Safersurf runtergeladen wurden
einen Virusalarm aus und wer hat damit gerechnet bei entsprechender UNVORSICHTIGER Einstellung nämlich ohne Fragen in Quarantäne,
hat man so auf einem sauberen System plötzlich nach nur einem Scan-Vollsuch-Lauf geschlagene 60 FP.

Es ist schon abenteuerlich das man diese wegen Überlastung des Quarantäne Ordners nicht wieder zurückgespielt bekommt...
bei vollen 4GB.RAM also alle Programme und Wächter abgestellt...Fehlanzeige G-Data hängt...
Nun die anderen Wächter deinstaliert wegen der Dienste etc.. G-Data hängt immer noch...
G-Data deinstalieren...auch nicht möglich weder Quarantäne löschen noch Prog.Daten behalten...
nun eines half dann nach 10 Neustarts....AVK Cleaner+Ccleaner/Reg.+Tune-up+3xNeustart und Wiederholungen...

hab ich schon erwähnt das die staubige Ecke im Regal zuwags von G-Data bekommen hat?
F-Secure ist wieder belebt worden......so kanns gehen.

Also die Quarantäne funktioniert bei mir einwandfrei. Selbst mit mehreren hundert Samples kann man sie noch öffnen. -> hab nur 1GB Ram

[scu]

Hallo,
Gestern fand der Wächter von G Data bei mir den Trojaner "Winlogon exe",dieses habe ich in die Quarantäne geschickt. Folge:Der Monitor wurde schwarz und der PC startete endlos immer wieder neu. Im abgesicherten Modus konnte ich nicht mehr starten, so mußte ich nach der Arbeit mein XP neu installieren, ich bin darüber sehr ärgerlich (auch über meine Dummheit, das ich diese Datei in die Quarantäne geschickt habe). G Data habe ich deinstalliert, ist mir zu genau) und wieder avast 4.8 installiert . Nochmal, ich bin echt ärgerlich!!!!!
PS: hoffentlich war nicht die Avast Engine daran schuld, glaube ich aber nicht, denn avast ist ein solider gratis- Virenschutz


Gruß Prozessor

Habe nach XP Neuinstallation die gefundene Datei aus Quarantäne an G Data geschickt , leider bisher noch keine Rückantwort.

Nach meinen Erfahrungen produziert die Avast Engine mehr Fehlalarme als die BitDefender...

Auch wenn es dir jetzt leider nichts mehr bringt, liest es vielleicht doch noch ein anderer der betroffen ist:
Hier ist eine Anleitung wie man das System wieder in den Gang bringt: http://www.gdata.de/support/kundenservice/...inlogonexe.html

[aido]

Tja jetzt hat es GDate entdlich mal geschafft mit der aktuellen Version Performant zu sein und macht dabei so ein Bockmist. Die Auswahl der Sicherheitslösungen wird merklich kleiner was bleibt.... F-Secure, AVG, ESET, Norton.

Der Beitrag wurde von aido bearbeitet: 16.02.2009, 14:14

[scu]

Tja jetzt hat es GDate entdlich mal geschafft mit der aktuellen Version Performant zu sein und macht dabei so ein Bockmist. Die Auswahl der Sicherheitslösungen wird merklich kleiner was bleibt.... F-Secure, AVG, ESET, Norton.

Vor Fehlalarmen ist aktuell leider keiner wirklich sicher...

[Julian]

was bleibt.... F-Secure, AVG, ESET, Norton.

Erzähl doch mal den Usern, die etwas anderes einsetzen, warum

[vomitator]

Vor Fehlalarmen ist aktuell leider keiner wirklich sicher...

Die vielen f.p. waren für mich der Hauptgrund von GData IS zu F-Secure IS zu wechseln. Und diesbezüglich bin ich äußerst zufrieden!

[aido]

Erzähl doch mal den Usern, die etwas anderes einsetzen, warum

Ach Julian. Ich hab schon alles durch. Die oben genannten Produkte waren bei mir die einzigen die nicht so Negativ aufgefallen sind. Besonders AVG und F-Secure Entwickler geben sich wirklich Mühe dem Kunden so gut wie es geht bei problemen zu helfen. Bei anderen bekommt mal lediglich eine Standardmail oder ein Hinweis zum besuch des Forums - Avira lässt grüssen das Forum ist ja nicht zu gebrauchen.

[citro]

AdAware 2008 beanstandet mit Def. 0146.0011 a²HiJackFree.exe als Trojan.Spybanker, sicherlich falsch und schon eingesendet.

MfG

[Gast_tpro_*]

Ad-Aware AE beanstandet schon mal diverse DLL-Files als "Suspicous files", wohl etwas überempfindlich die Heuristik

[citro]

Ein Fehlalarm von a² -> war wohl gravierend

Info

[Gast_kurz-pc_*]

SecureWeb-Gateway hält die explorer.exe für schädlich Win32.LooksLike.Virut.

http://www.virustotal.com/analisis/c443b02...4d41ec590c0e1d3

hat jemand die Adresse von SecureWeb für fp?

[Gast_blueX_*]

Die Datei vtcpak32.dll (stammt von Deep Paint 2.0) wird wie folgt falsch erkannt:

http://www.virustotal.com/de/analisis/f818...bc21-1244018537


Kann das jemand mittels Programm den entsprechenden AV's zur Verfügung stellen (insbesondere Sunbelt, Bitdefender, McAfee und Comodo)?
Ich hab's schonmal eingesandt, aber keine Reaktion erhalten.


Deep Paint gibt's hier: http://www.chip.de/downloads/Deep-Paint_16395518.html

[olli]

Ich habe es mal zu Gdata gesendet. Mal sehe, was passiert.

Bis denne
Olli

[Gast_blueX_*]

Danke, olli.

[olli]

Und es geht weiter mit GData:

in Squeez, einem Archiver
http://www.speedproject.de/squeez/index.html

finde Engine B, also Avast auf einmal einen Trojaner:
Win32:Obfuscated-FWN [Trj]

Auf Virscan.org melden alle andere Scanner aber nix, so dass ich stark von einem Fehlalarm ausgehen.

Die Datei habe ich auch schon eingesendet.

Bis denne
olli

[olli]

Und es geht weiter mit GData:

in Squeez, einem Archiver
http://www.speedproject.de/squeez/index.html

finde Engine B, also Avast auf einmal einen Trojaner:
Win32:Obfuscated-FWN [Trj]


Bis denne
olli

Fehlalarm ist behoben.

Bis denne
Olli

[Solution-Design]

Da waren sie aber wesentlich flotter als seinerzeit Symantec! Dort geht die FP-Behebung (auch wenn FPs selten bis gar nicht vorkommen, der SpeedCommander-FP war in einem Einstellungssicherungsmodul bei Heuristik hoch) nur über ein dämliches Webseitchen, ohne Datei-Upload-Möglichkeit. Und das hat Wochen gedauert. OK, FPs sind im Gegensatz zum G-Data-Zeugs eher nicht vorhanden, dennoch...

[Gast_kurz-pc_*]

Bei mir hat Symantec vor kurzem ein FP der innerhalb 24 Stunden bestätigt und entfernt wurde.

Allerding hab ich es per Formular eingeschickt und nicht per Mail.
https://submit.symantec.com/false_positive/index.html

Im Moment ärger ich mich über Bitdefender versuch seit dem 16.04.09 ein FP entfernen zu lassen die melden sich aber einfach nicht und entfernt wird auch nichts.

VT vom 16.04.09 Result: 14/40 (35.00%)
http://www.virustotal.com/analisis/0df4e31...deae-1239893077

VT von 06.06.09 Result: 7/39 (17.95%) (Panda hat am 04.06.2009 den FP bestätigt)
http://www.virustotal.com/analisis/0df4e31...deae-1244321569

[Gast_blueX_*]

Die Datei vtcpak32.dll (stammt von Deep Paint 2.0) wird wie folgt falsch erkannt:

http://www.virustotal.com/de/analisis/f818...bc21-1244018537


Kann das jemand mittels Programm den entsprechenden AV's zur Verfügung stellen (insbesondere Sunbelt, Bitdefender, McAfee und Comodo)?
Ich hab's schonmal eingesandt, aber keine Reaktion erhalten.


Deep Paint gibt's hier: http://www.chip.de/downloads/Deep-Paint_16395518.html

Der False Positive besteht immernoch bei Comodo, Bitdefender, MKS_Vir und McAfee obwohl ich ihn eingesandt habe. Sunbelt hat inzwischen gefixt.
Inzwischen kam auch noch PCTools dazu: http://www.virustotal.com/de/analisis/f818...bc21-1244733423

Hat schonmal jemand versucht, bei PCTools einen Fehlalarm zu melden? Was die alles wissen wollen -> http://www.pctools.com/de/mrc/dispute
Warum schauen die das nicht selbst an?

[Rios]

Wahrscheinlich weil es einfacher ist, wenn ihnen jemand die Arbeit abnimmt?

[Gast_ravu_*]

Hat schonmal jemand versucht, bei PCTools einen Fehlalarm zu melden? Was die alles wissen wollen -> http://www.pctools.com/de/mrc/dispute
Warum schauen die das nicht selbst an?

* Hiermit bestätige ich die Richtigkeit aller Angaben

Der Beitrag wurde von ravu bearbeitet: 11.06.2009, 16:55

[Manu]

HDiskDefrag wird von AntiVir seit dem letzten Update - fälschlicherweise - als Adspy.Gen erkannt.

[Gast_blueX_*]

So wie es aussieht, wissen die schon davon:

Die Datei 'HDiskDefrag.exe' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Das Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) entfernt werden.

[markusg]

Die Datei 'HDiskDefrag.exe' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist.
Das Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) entfernt werden.
voipdiscount
wird auch als backdoor erkannt, wird montag gefixt

[markusg]

OK der fehlalarm wurde behoben in voipdiscount

[Gast_blueX_*]

Hier sieht man wie schnell das reagiert werden kann.

[markusg]

*ggg*
und es scheint in anderen produkten der firma wohl noch fps zu geben, eine frechheit ist das, die leute ein ganzes we auf ein update warten zu lassen. zumal es bei avira im moment wohl verhäuft zu fps kommt wie es aussieht.

[franksa]

Avira AntiVir Premium meldet, wenn ich mich bei studivz einloggen will:

Enthält verdächtigen Code: HEUR/HTML.Malware

 Unbenannt.jpg ( 30.35KB ) Anzahl der Downloads: 22


Der Beitrag wurde von franksa bearbeitet: 16.06.2009, 21:22

[Gast_blueX_*]

Hierfür ist die Heuristik von AntiVir verantwortlich. Vermutlich ein Fehlalarm.
Hast du das eingesandt?

[Gast_Laith_*]

Enthält verdächtigen Code: HEUR/HTML.Malware

Das kriegte ich bei diesem portablen Thunderbird auch seit einigen Tagen. Aber nur bei Avira

Avast ist da ganz lieb

[Gast_blueX_*]

2 Dateien von Flash Cookie Manager - vermutlich ein Fehlalarm.

http://www.virustotal.com/de/analisis/5792...c24a-1247960493
http://www.virustotal.com/de/analisis/05df...271a-1247961206

[Gast_kurz-pc_*]

Avira findet auf der D-Link Seite HEUR/HTML.Malware.

http://www.virustotal.com/analisis/7854bb4...be2b-1249243375

http://support.dlink.de/solution/Scripts/CSBRCommon.js

Mal sehen wie lange die brauchen um das zu Fixen.

[Gast_kurz-pc_*]

Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
CSBRCommon.js FALSE POSITIVE

Die Datei 'CSBRCommon.js' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Das Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) entfernt werden.

Schnell geantwortet.

[citro]

a-squared

Prozess C:\WINDOWS\Explorer.EXE
gefunden: Worm.Downloader.SZ!IK

[Gast_blueX_*]

Das ist aber ein empfindlicher Fehlalarm!

[citro]

Das ist aber ein empfindlicher Fehlalarm!

Hat sich nach einem Update erledigt

[Solution-Design]

Hat sich nach einem Update erledigt

Trotzdem, sehr unangenehm. Solche Dinge bringen einen gewissen Verriss mit

[citro]

Norman Antivirus legt Windows XP lahm


Quelle: PCWelt

KLICK

[Gast_blueX_*]

Die kernel32.dll sollte eigentlich nicht gemeldet werden.

[Habakuck]

Immer wenn ich von solchen schwerwiegenden FPs lese dann frage ich mich warum die Entwickler keine Whitlist für die wirklich wichtigen Windows Dateien hinterlegen die eine höhere Priorität hat als jede Signatur?!

[Gast_blueX_*]

Ich kann das auch nicht nachvollziehen ....

[Varock]

Naja, wenn man bei einer Whitelist fehler macht sodass ein bestimmer Virus immer durchkommt ist auch nicht so angenehm, aber besser als wenn das ganze System kaputt geht. xD

[Habakuck]

Naja, genau dafür, dass sie das richtig machen zahlt der Kunde ja schließlich. Und so eine Whitlist kann nicht so schwierig sein.

[citro]

VIPRE steckt winlogon.exe in Quarantäne

PCWelt

[Julian]

Es trifft immer nur Win XP.
Und es trifft in letzter Zeit auch immer nur AVs, die man sowieso nicht empfehlen kann.

[Solution-Design]

Ich liebe die Avira-Heuristik

http://process-explorer.softonic.de/

[attachment=5688:avira.png]

[Gast_J4U_*]

Ich liebe die Avira-Heuristik
http://process-explorer.softonic.de/

Hm, es wird aber nicht der von Dir gepostete Link geblockt, sondern dieser:
hxxp://ia1.sftcdn.net/de/js/generated/cb51c0eca2cb90fc641d37d9a6d60d1b-ba8d621488f934f123bd7be9be1cc258.js
die softonic.de-Seite lädt ansonsten normal.

J4U

[Solution-Design]

Wenn ich den Link aufrufe, meldet sich Avira. Warum und an welcher Stelle (javascript) ist ja erst mal Schnuppe. Dass Avira nicht wild eine Homepage bemeckert ist selbstredend. So viel traue ich denen schon zu.

[attachment=5691:avira.png]

[Gast_J4U_*]

Warum und an welcher Stelle (javascript) ist ja erst mal Schnuppe.

Was macht Dich so sicher, dass das js sauber ist?
Es soll sogar Leutchen geben, die installieren für ihren Browser ein Plugin, um js abzuschalten.

J4U

[Solution-Design]

Bei softsonic wird von Avira jedes Script bemeckert. Nur eben nicht von anderer AV-Software.

[Gast_J4U_*]

Hast schon Recht, ich wollte nur damit zum Ausdruck bringen, dass von einem geblockten javascript die Welt nicht untergeht,
FP 2. Klasse sozusagen.

J4U

[citro]

Gerade kam die Antwort von Avira, es ist ein Falsch-Positiv

[Gast_blueX_*]

Kaspersky mit einem Fehlalarm: http://www.heise.de/newsticker/meldung/Kas...Ads-912740.html




Der Beitrag wurde von blueX bearbeitet: 25.01.2010, 21:06

[N3XT]

Kaspersky meldet beim Aufruf der Prosieben-Website HEUR:Trojan.Script.Generic

[citro]

Bitdefender-Update legt Windows-Rechner lahm (64-Bit)

heise.de

http://www.bitdefender.com/site/KnowledgeBase/consumer/#640

Windows = Trojan.FakeAlert

Der Beitrag wurde von citro bearbeitet: 21.03.2010, 18:04

[citro]

Eine Stellungnahme von BD zum Fehlalarm:

http://www.bitdefender.de/NW1433-de--bitde...akealert.5.html

[scu]

Eine Stellungnahme von BD zum Fehlalarm:

http://www.bitdefender.de/NW1433-de--bitde...akealert.5.html

Wenn Sie Probleme haben, starten Sie den Computer NICHT neu!!!

[..]

Bitte kontaktieren Sie den Support, falls es zu Schwierigkeiten kommt.

Tagtäglich beschützt BitDefender viele Millionen Privat- und Geschäftskunden rund um den Globus und gibt ihnen das gute Gefühl, dass ihr digitales Leben sicher ist.

[Voyager]

Dementsprechend lief auf einigen Systemen BitDefender nicht mehr, Anwendungen funktionierten nicht und Windows startete auf diesen Systemen nicht.

Das ist doch schei??egal ob Bitdefender läuft oder nicht läuft wenn das OS nicht startet " Richtig wäre es gewesen wenn wenn man Bitdefender und Programme unerwähnt lässt da nur Dateien des OS betroffen waren.

Der Beitrag wurde von Voyager bearbeitet: 23.03.2010, 21:12

[olli]

Hier ist nochmal eine Stellungnahme von BitDefender zu dem Thema:

http://www.bitdefender.de/NW1441-de--bitde...te-support.html

Bis denne
Olli

[Joerg]

Gabs wohl keine Qualitätskontrolle vor dem Bereitstellen der Signatur.
Ist aber auch ein Grund, warum ich nach der Installation eines AV-Programmes immer als erstes das automatische Verschieben in die Quarantäne abschalte.

[Catweazle]

Nun hat es auch Kaspersky, und Jiangmin, und CAT-QuickHeal, erwischt

Stammt von dem c´t-Notfall-Windows Projekt.


http://www.virustotal.com/de/analisis/2999...b404-1269626849

Oder doch nicht ?!

Catweazle

[Catweazle]

a-squared, AntiVir, Antiy-AVL, Fortinet, McAfee-GW-Edition, TheHacker

http://www.virustotal.com/de/analisis/0c3f...cddb-1269797679

a-squared Free - Version 4.5
Letztes Update: 28.03.2010 15:59:44

Scan Einstellungen:

Scan Methode: Eigener Scan
Objekte: Speicher, Traces, Cookies, C:\, D:\, E:\, F:\
Archiv Scan: An
Heuristik: An
ADS Scan: An

Scan Beginn: 28.03.2010 16:23:44

C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269525900281000 gefunden: Trace.TrackingCookie.doubleclick.net!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269543767156000 gefunden: Trace.TrackingCookie.count!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269599029578001 gefunden: Trace.TrackingCookie.promo.awempire.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269614036578000 gefunden: Trace.TrackingCookie.zedo.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269614037718000 gefunden: Trace.TrackingCookie.zedo.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269614037718001 gefunden: Trace.TrackingCookie.zedo.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269628005968000 gefunden: Trace.TrackingCookie.www.googleadservices.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269629114734000 gefunden: Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269629619296000 gefunden: Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269629651390000 gefunden: Trace.TrackingCookie.tribalfusion.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269700647796000 gefunden: Trace.TrackingCookie.m.webtrends.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269713178203000 gefunden: Trace.TrackingCookie.d1.openx.org!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269713345578000 gefunden: Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269713346718000 gefunden: Trace.TrackingCookie.ads.us.e-planning.net!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269713492531001 gefunden: Trace.TrackingCookie.ad.zanox.com!A2
D:\C`t-Motfall-Windows\Projects\Tools\$1\I386\system32\keyreader.exe gefunden: Trojan.Win32.Buzus.dfnm!A2

Gescannt

Dateien: 342790
Traces: 404762
Cookies: 477
Prozesse: 27

Gefunden

Dateien: 1
Traces: 0
Cookies: 17
Prozesse: 0
Registry Keys: 0

Scan Ende: 28.03.2010 17:43:43
Scan Zeit: 1:19:59

Catweazle

[Gast_blueX_*]

Sende die Datei keyreader.exe ein und schreibe dazu, dass du einen False Positive vermutest.

[Catweazle]

Kann ich leider nicht mer. Hab ich wahrscheinlich versehentlich gestern von KAV löschem lassen

Sorry.

Catweazle

[Solution-Design]

Wieso gelöscht? Das Ding ist doch auf der Notfall-CD?

[Catweazle]

Wieso gelöscht? Das Ding ist doch auf der Notfall-CD?

Stimmt, muß ja noch auf der Heft Cd, bzw. DVD stehen.

Catweazle

[Catweazle]

...sehr komisch, jetzt habe ich das ganze Archiv noch mal entpackt, wo das alte lag, und jetzt finde ich diese datei nicht mer.

Catweazle

[citro]

Jetzt ist McAfee an der Reihe und macht Windows XP SP3 unbenutzbar

Heise.de

[Catweazle]

Und nu is es weg lmfao.gif

a-squared Free - Version 4.5
Letztes Update: 25.04.2010 16:35:31

Scan Einstellungen:

Scan Methode: Eigener Scan
Objekte: Speicher, Traces, Cookies, C:\, D:\, E:\, F:\
Archiv Scan: An
Heuristik: An
ADS Scan: An

Scan Beginn: 25.04.2010 17:03:17

C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1272203281062001 gefunden: Trace.TrackingCookie.promo.awempire.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1272206389886000 gefunden: Trace.TrackingCookie.doubleclick.net!A2
F:\USB Disk Storage Format Tool\sp27608.exe gefunden: Trojan.Win32.Dropper!A2

Gescannt

Dateien: 329193
Traces: 407730
Cookies: 1287
Prozesse: 28

Gefunden

Dateien: 1
Traces: 0
Cookies: 2
Prozesse: 0
Registry Keys: 0

Scan Ende: 25.04.2010 18:18:02
Scan Zeit: 1:14:45

F:\USB Disk Storage Format Tool\sp27608.exe Quarantäne Trojan.Win32.Dropper!A2

Quarantäne

Dateien: 1
Traces: 0
Cookies: 0

C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1272203281062001 Gelöscht Trace.TrackingCookie.promo.awempire.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1272206389886000 Gelöscht Trace.TrackingCookie.doubleclick.net!A2

Gelöscht

Dateien: 0
Traces: 0
Cookies: 2

Und ein komisches VT Ergebnis, haben wir auch noch. Ja eingesand habe ich es gestern, oder vorgestern.

Nun ja man kann die, bzw. das Programm sich erneut runter laden, aber das müßte nicht sein thumbdown.gif stirnklatsch.gif


http://www.virustotal.com/de/analisis/5d16...d45f-1272216451

Catweazle

Der Beitrag wurde von Catweazle bearbeitet: 25.04.2010, 18:35